Tenant Restrictions sono disponibili per i membri dei piani Enterprise e delle organizzazioni Console.
Tenant Restrictions consente agli amministratori IT dei piani Enterprise di applicare il controllo di accesso a livello di rete per Claude. Questa funzione garantisce che gli utenti sulle reti aziendali possano accedere solo agli account organizzativi approvati, prevenendo l'uso non autorizzato di account personali.
Come funziona
Quando abilitato, il proxy di rete inietta un'intestazione HTTP nelle richieste a Claude. Anthropic convalida questa intestazione e blocca l'accesso da qualsiasi organizzazione non presente nell'elenco consentito.
Metodi di autenticazione supportati:
Accesso web (claude.ai)
Accesso desktop/app
Autenticazione tramite chiave API
Autenticazione tramite token OAuth
Formato intestazione
anthropic-allowed-org-ids: <org-uuid-1>,<org-uuid-2>,...
Elenco delimitato da virgole di UUID organizzativi
Nessuno spazio tra i valori
Esempio:
anthropic-allowed-org-ids: 550e8400-e29b-41d4-a716-446655440000,6ba7b810-
9dad-11d1-80b4-00c04fd430c8
Suddividere gli elenchi consentiti di grandi dimensioni su più intestazioni
Se l'elenco consentito è troppo lungo per una singola riga di intestazione sulla piattaforma proxy, suddividerlo su intestazioni di continuazione numerate. Aggiungere ;n=K all'intestazione di base per dichiarare il numero totale di righe di intestazione, quindi aggiungere gli UUID rimanenti nelle intestazioni anthropic-allowed-org-ids1 fino a anthropic-allowed-org-ids{K-1}.
anthropic-allowed-org-ids: <org-uuid>,<org-uuid>,...;n=K
anthropic-allowed-org-ids1: <org-uuid>,<org-uuid>,...
...
anthropic-allowed-org-ids{K-1}: <org-uuid>,<org-uuid>,...
Massimo di 10 righe di intestazione (
K≤ 10)Massimo di 500 UUID organizzativi totali su tutte le righe
Il proxy deve inviare ogni slot dichiarato. Se si imposta
;n=3, tutte e tre le intestazioni devono essere presenti nella richiesta.Configurare il proxy per sovrascrivere queste intestazioni su ogni richiesta anziché aggiungerle solo se assenti.
Passaggi di configurazione
1. Trovare l'UUID dell'organizzazione
I membri dei piani Enterprise possono trovarlo in due posizioni diverse:
Passare a Impostazioni > Account e trovare ID organizzazione.
Passare a Impostazioni organizzazione > Organizzazione e scorrere fino in fondo alla pagina per individuare ID organizzazione.
I membri delle organizzazioni Console possono trovarlo in Impostazioni > Organizzazione.
2. Configurare il proxy di rete
Configurare il proxy per iniettare l'intestazione per il traffico Claude:
Rule: Claude Tenant Restriction
Application: claude.ai, api.anthropic.com, claude.com, anthropic.com
Action: Inject Header
Header Name: anthropic-allowed-org-ids
Header Value:
TLS Inspection: Required
3. Testare la configurazione
Dalla rete ristretta, testare con la chiave API dell'organizzazione:
curl https://api.anthropic.com/v1/messages \
-H "x-api-key: $CLAUDE_API_KEY" \
-H "anthropic-version: 2023-06-01" \
-H "content-type: application/json" \
-d '{"model":"claude-sonnet-4-6","max_tokens":1024,"messages":
[{"role":"user","content":"Hello"}]}'
Risposte di errore
Accesso bloccato
Quando l'organizzazione di un utente non è nell'elenco consentito, riceve un errore 403:
{
"type": "error",
"error": {
"type": "permission_error",
"message": "Access restricted by network policy. Contact IT Administrator.",
"error_code": "tenant_restriction_violation"
}
}
Errori di configurazione dell'intestazione
Se il proxy invia le intestazioni in modo non corretto, le richieste non riescono con uno stato 400 e uno di questi messaggi:
Più intestazioni
anthropic-allowed-org-ids: Un nome di intestazione è apparso più di una volta nella stessa richiesta. Configurare il proxy per sovrascrivere ogni intestazione anziché aggiungere un duplicato.Intestazioni
anthropic-allowed-org-idsnon valide: Il valore;n=Knon è valido, uno slot di continuazione dichiarato è mancante o in eccesso, oppure l'elenco consentito totale supera 500 UUID.
Piattaforme proxy supportate
Zscaler ZIA (Cloud App Control policies)
Palo Alto Prisma Access (SaaS App Management)
Cato Networks (Tenant Restriction policy)
Netskope (Header Insertion rules)
Proxy HTTPS generici con capacità di iniezione di intestazioni
Casi d'uso
Scenario | Valore intestazione |
Organizzazione singola |
|
Più organizzazioni (partner) |
|
Vantaggi di sicurezza
Prevenzione della perdita di dati: Bloccare l'utilizzo di account personali dalle reti aziendali.
Conformità: Applicare i criteri di residenza dei dati e di accesso.
Controllo Shadow IT: Prevenire l'utilizzo non autorizzato di Claude.
Audit Trail: Visibilità completa sui tentativi di accesso.
Compatibilità con le versioni precedenti
Nessun impatto sulle reti senza restrizioni tenant configurate.
L'autenticazione standard continua per le reti non gestite.
L'autenticazione tramite chiave API esistente rimane invariata.
